tema 10: upravljanje rizikom (iso/iec 27005)

Tema 10:UPRAVLJANJE RIZIKOM

(ISO/IEC 27005)

DEFINISANJE

KONTEKSTA ZA ANALIZU RIZIKADocent dr Gojko Grubor

OSNOVI BEZBEDNOSTI I ZAŠTITE IKTS

04/21/23 UNIVERZITET SINGIDUNUM - FPI

2

CILJ

• Razumeti:• koncept bezbednosnog rizika

• vrste metoda za upravljanje/procenu rizikaKvalitativneKvantitativne

• vrste modela za upravljanje rizikom


3

KLJUČNI TERMINI

• Rizik

• Upravljanje rizikom

• Analiza (procena) rizika

• Kvantitativna metoda

• Kvalitativna metoda

• Model upravljanja rizikom

Šta je bezbednosni rizik?

• A = Pv + R+ In (ili +Po) ‚ Pv-poverljivost, R-raspoloživost, In-integritet, Po-pouzdanost/ iskoristivost

• V = DxKxTrxIsxZa D-detektibilnost, K -korisnost, Tr -trajnost, Is -iskoristivost, Za –zaštićenost

T=T1+T2+...+T8= T Rr = AxVx T Rrp= (Rr/Mz) x Ut = ((AxVx T)/Mz) x Ut - nivo preostalog rizika • mere zaštite – Mz (k/z: osnovne, poboljšane) • uticaj-Ut = AxTixTfxTv ≡ OGG

5

Pristup proceni b. rizika

Povećati bezbednost= smanjiti faktore rizika

Rizik = Ranjivost * Pretnja* Uticaj

= * *Admin

6


Zašto je ovo važno?

Motivacioni

Razlog zašto neko treba da uradi nešto

Problem

Indicira na šta se neko treba usmeriti

Katalizator

Nepredvidljiv događaj koji nas primorava da nešto uradimo

Iskorišćava ranjivostUzrokuje uticaj

Uticaj Ranjivost Pretnja

7


Zašto je ovo važno?

• finansijski gubitak• gubitak ugledan• gubitak vremena• gubitak know -how• …

• Ljudske greške• nedostatak know-how• nedostatak intresa• zamor• …

• Tehničke ranjivosti• nepečovan OS• nepečovane aplikacije • otvorene mreže• WiFi Bluetooth• pogrešna konfiguracija sistema…

•Namerne pretnje• iznutra• izvana• fizičke• logičke

• Nenamerne pretnje• greške•kvarovi• …

Struktura znanja

Uticaj Ranjivost Pretnja

8

Ciljevi su:

nisu jednaki, ali su slični !!!!


Građani ORGAdmin

9

Topologija:Pristup proceni b. rizika

Građani ORG Admin

Kontekst za analizu rizika

1. Osnovni parametri za upravljanje rizikom (A,V,T),

2. Definisanje obima i granica analize,

3. Uspostavljanje i organizacija tima za upravljanje rizikom,

4. Uspostavljanje strukture i procesa analize i procene rizika

Kvalitativne metode

Vrste: CCTA CRAMM, LAVA, RISKPAC, MARION, Buddy System, OCTAVE....

CRAMM: Faza 1- Identifikacija i evaluacija imovine (A) Faza 2- Procena T i V Faza 3 –Identifikacija, izbor k/z, provera Problem: održavanje ažurne baze podataka,

cena komponenti sistema zaštite

OCTAVE (Operationally Critical, Threat,

Asset, and Vulnerability Evaluation)

• nije moguće redukovati ili otkloniti sav rizik, • resursi za zaštitu uvek su ograničeni,• ne mogu se sprečiti svi napadi na sistem,• incidente treba prepoznati/neutralisati, sistem

oporaviti,• optimalno iskoristiti resurse za preživljavanje

neophodnih funkcija IKTS i organizacije, • koristi tri kataloga informacija:

1. kritične imovine (A), 2. pretnji (T) i ranjivosti (V)3. prakse zaštite.

OCTAVE i drugi metodi evaluacije rizika

OCTAVE Drugi tipovi evaluacije

evaluacija organizacije (ne samo IKTS) evaluacija IKT sistema

pažnja usmerena na praksu zaštite pažnja usmerena na tehnologiju zaštite

strategijska pitanja taktička pitanja

samo-vođena metodologija vođena od strane eksperta (skupa)

adaptivna za većinu organizacija specifična za svaku organizaciju

uravnotežuje: operativni rizik, praksu

zaštite i tehnologiju zaštite

Metod OCTAVE

Analitički tim:identifikuje objekte organizacije

• usmerava analizu rizika na kritične objekte (KO)

• razmatra pretnje i ranjivosti (proceduralne i tehnološke) KO

evaluira faktore rizika u operativnom kontekstu planira strategiju zaštite na bazi prakse zaštite

Trofazni metod evaluacije

• Faza 1: Identifikacija i izrada profila pretnji (T)

• Faza 2: Analiza ranjivosti (V)• Faza 3: Planiranje i razvoj strategije i

plana zaštite

Kriterijumi metoda OCTAVE

• Zahtevi metoda ugrađeni u skup kriterijuma: – principa (npr. samo-vođenja) – atributa (različiti kvaliteti ili karakteristike procesa

evaluacije)– izlaznih rezultata (očekivani rezultati svake faze i

procesa evaluacije)

• Razvijena dva metoda: – OCTAVE metod (za srednje i velike organizacije) i– OCTAVE –S metod (za male organizacije)

OCTAVE poboljšanje prakse zaštite

• planira implementaciju strategije zaštite kroz detaljne akcione planove (dnevne, nedeljne, mesečne,..),

• monitoriše dinamika sprovođenja i efektivnost realizacije akcionih planova

• kontroliše varijacije i preduzima odgovarajuće korektivne aktivnosti.

• OCTAVE metod je evaluacioni, a ne neprekidni proces• proces upravljanja rizikom definisan je i zatvoren:

– planiranje, implementacija, kontrola i korekcija sistema zaštite.

1.Osnovni parametri za upravljanje rizikom

(ISO-27005)

a. izbor odgovarajućeg pristupa za procenu rizika

b. uspostavljanje kriterijuma za evaluaciju rizika

c. uspostavljanje kriterijuma za procenu verovatnoće uticaja,

d. uspostavljanje kriterijuma za prihvatanje i tretman rizika

e. određivanje potencijalno raspoloživih resursa

a. Izbor odgovarajućeg pristupa za procenu rizika

• Formalna metodologija za analizu rizika (ISO/IEC TR 13335-3, ISO/IEC 27005),

• Interaktivna programska aplikacija (HESTIA, CRAMM, COBRA, vsRISK, RA2…),

• OCTAVE (Organizational Critical Treats Assessment and and Vulnerability Estimation), analiza kritičnih faktora rizika,

• BAR-brza analiza kritičnih faktora rizika

Kvantitativni metodi

Metodi rentabiliteta (cost-benefit) Atributi rizika:

– Vrednost informacione imovine – A – Verovatnoća realizacije pretnji – Tv– Ranjivost informacione imovine – V

OGG (očekivani godišnj igubici)= Tv x A Vrste: NIST, IBM, vlade SAD/FIPS 65 ,

RISKCALC, BDSS, RISKWATCH...

b. Kriterijumi za evaluaciju bezbednosnog rizika za informacije

1. Tipični, ali ne svi:– legalni i normativni zahtevi i ugovorne obaveze,– operativne i poslovne posledice ne-raspoloživosti

informacija i servisa,– operativne i poslovne posledice gubitka poverljivosti

informacija i servisa,– operativne i poslovne posledice gubitka integriteta

informacija i servisa,– operativne i poslovne posledice gubitka raspoloživosti

informacija i servisa,– percepcija kupaca, klijenata i partnera i negativan uticaj na

reputaciju, konkurentnost i poslovanje…

c i d. Uspostavljanje kriterijuma za procenu verovatnoće uticaja,

prihvatanje i tretman rizika

• Uspostavljanje kriterijuma zasniva se na: – operativnim, tehničkim, finansijskim, legalnim, normativnim,

socijalnim ili drugim kriterijumima,– zavise od interne politike organizacije, poslovnih ciljeva i

interesa relevantnih učesnika,– mogući su višestruki kriterijumi (npr, normativne, zakonske,

ugovorne obaveze bez obzira na procenjeni nivo rizika),

• Tretman rizika zavisi od:– odluke da li je faktor rizika, ispod ili iznad predefinisanog

praga prihvatljivosti,– mogući su i različiti nivoi praga prihvatanja rizika u istoj

organizaciji,…

f. Određivanje potencijalno raspoloživih resursa

• izbor tima za ublažavanje (tretman) i upravljanje rizikom u organizaciji,

• izbor kontrola zaštite,

• implementacija kontrola zaštite,

• sertifikacija i akreditacija sistema zaštite.

2. Definisanje obima i granica procesa upravljanja rizikom

a. Obim procesa upravljanja rizikom

b. Granice procesa upravljanja rizikom

a. Obim procesa upravljanja rizikom

– strateški i kratkoročni poslovni ciljevi organizacije, procesi i strategije,

– politika zaštite organizacije,

– legalni i normativni zahtevi,

– oblast primene, npr., sa definisanjem sistema ili granica geografske lokacije,

– opravdanje za isključivanje nekog objekta iz obima procesa upravljanja rizikom.

b. Granice procesa upravljanja rizikom

• poslovne ciljeve i politike,

• informacionu imovinu IKT sistema,

• ljude (zaposlene, partnere, podugovorače, spoljne saradnike, klijente…)

• fizičko okruženje (zgrade i druge objekte),

• društveno-kulturološko okruženje,

• poslovni procesi i aktivnosti…

3. Uspostavljanje i organizacija tima za upravljanje rizikom

• identifikacija i analiza relevantnih učesnika • izbor lidera tima • izbor članova tima iz org.: izvršnih menadžera,

praktičara poznavaoca poslovnih procesa, pravnika, informatičara – admnistratora sistema i mreža, specijalista zaštite

• definisanje uloga i odgovornosti svih učesnika,• uspostavljanje zahtevanih odnosa i komunikacije

između učesnika i organizacije kao i drugih projekata i aktivnosti.

4. Uspostavljanje strukture procesa analize i procene rizika

1.4.1. Komunikacija u procesu procene rizika

• članova Tima za procenu rizika sa relevantnim internim i eksternim učesnicima u svakoj fazi,

• razumevanja procesa procene rizika za sve članove tima (cilj komunikacije):

– sakupljanje informacija za identifikaciju faktora rizika,– analizu toka informacija za izbegavanje ili redukciju

bezbednosnih incidenata,– konsultacije za poboljšavanje međusobnog

razumevanja procesa upravljanja rizikom kod relevantnih učesnika,

– plan komunikacije pitanja koja se odnose na sam proces i upravljanja procesom treba razviti u ranoj fazi procesa procene rizika.

1.4.2. Procedura za upravljanje rizikom

• Ciljevi:– da prenese stav organizacije prema zaštiti

informacija– da smanji potencijalni uticaj proboja sistema zaštite

• Namena:– da obezbedi sigurnost upravljanja rizikom org.– da sakuplja informacije o riziku za svaku procenu

rizika– da izbegne proboje sistema zaštite zbog

nerazumevanja relevantnih učesnika i donosioca odluka

1.4.3. Monitoring i revizija procesa upravljanja rizikom IS

• Monitoring:

–identifikuje promene okruženja

–identifikuje promene u IKT sistemu

–identifikuje faktore rizika u ranoj fazi,

–inicira regularnu reviziju svih (pod)procesa upravljanja rizikom i kad se dogode glavne promene


• Cilj revizije:– odrediti da li je procena faktora rizika još uvek

relevantna, – ako nije preduzeti korektivne akcije, uključujući

redefinisanje:• konteksta,• kriterijuma za evaluaciju rizika,• pristupa i metodologije za procenu rizika,• pristupa i opcija tretmana rizika,• metoda komunikacije u procesu procene rizika,• pristupa i analize rezultata monitoringa rizika


• Predmet revizije:– legalni okvir i kontekst upravljanja rizikom,– kontekst konkurencije/potencijalnih napadača,– kriterijumi za evaluaciju rizika,– kategorizacija i vrednovanje imovine (A),– prag za odlučivanje o tretmanu rizika

(prihvatljiv/neprihvatljiv rizik),– vrednovanje troškova kontrola zaštite za

ublažavanje rizika

1.4.4. Proces procene rizika (Risk assessment)

a. Analiza rizika: – identifikacija i– estimacija

b. Evaluacija rizika

a. Analiza faktora rizika (zašto i kako može nastati)

Identifikacija: – sveobuhvatna, struktuirana, – faktora rizika koje treba tretirati, pod i izvan kontrole

organizacije– imovine, pretnji, ranjivosti, (verovatnoće pojave,

frekvencije, intenziteta) i uticaja (poslovnih posledica, štete) ili verovatnoće da će pretnja/e iskoristiti ranjivost/i,

– neprihvatljivih posledica (faktora rizika),– metoda za identifikaciju faktora rizika:

• ček liste, intervjui, sistemska analiza i sistem inženjerske tehnike

Izlaz 1: Inventar (vrednosti) informacione imovine ISIzlaz 2: Taksonomija relevantnih pretnji za ISIzlaz 3: Taksonomija relevantnih ranjivosti sistema IS

a. Analiza faktora rizika, (zašto i kako može nastati)

Estimacija:– Kvantitativna aproksimacija, statistička, numerička,

uključuje faktor neodređenosti rizika - u novčanim vrednostima

– Kvalitativna aproksimacija, uključuje faktor neodređenosti rizika – nizak (N), srednji (S), visok (V)

– Estimacija parametara za procenu rizika: • Vrednosti imovine - A: N, S, V ; • Pretnji -T: N. S, V; • Ranjivosti - V: N, S, V

– Relativni rizik - Rr= AxVxT (ili Rr=A+V+T)– Relativni preostali rizik - Rpr = (AxVxT)/Mz,

• Mz - efektivnosti postojećih/implementiranih kontrola zaštite

a. Analiza faktora rizika, (zašto i kako može nastati)

Estimacija (1):• Uticaj – A

– posledica, šteta, gubici - procenjuje se na bazi potencijalne štete zbog gubitka poverljivosti, raspoloživosti i integriteta informacija (ISO1335-1)

– izražava se kroz vrednost imovine (A) za organizaciju • Ranjivost sistema - V• Verovatnoća događaja pretnje –Tp:

– verovatnoća da će pretnja/e iskoristiti ranjivost/i LANE– estimacija A,V,T: N (nizak), S (srednji), V (visok),

• Prihvatljivi relativni rizik-Rpr = TpxA• Estimacija Rpr: N, S, V• Rpr faktori sa N-uticajem:

– mogu se isključiti, ali ih treba navesti u Listi rizika (demonstrira se kompletnost procene rizika),

– uvek treba implementirati neke kontrole za reviziju (auditing) faktora rizika procenjenih sa niskim uticajem (N),

b. Evaluacija rizika

• priprema za izradu Plana tretmana rizika, • razmatranje/izbor kriterijuma za evaluaciju rizika• priprema procene rizika na bazi strogo utvrđenih kriterijuma,

uključujući:– bezbednosne kriterijume,– značaj poslovnog procesa podržanog određenom informacionom

imovinom,– potrebu tretmana rizika,– potrebu preduzimanja hitnih aktivnosti za tretman rizika,– komparaciju nivoa estimacije faktora rizika sa pre-definisanim

kriterijumima (rezultatima prethodne procene rizika),

Izlaz 1: Lista prioriteta faktora neprihvatljivog rizika i Izlaz 2: Lista prihvatljivih faktora rizika

(prihvaćenih i sa N uticajem).

1.4.5. Proces procene (assessment) bezbednosnog rizika IS

• Identifikovanje potencijalnih uticaja na poslovanje:– materijalne štete i negativni uticaji na poslovanje (reputaciju)

• Identifikovanje verovatnoće događanja bezbedno relevantnih incidenata (realizovanih štetnih napada),

• Incident može uticati na:– poslovanje, ljude, procese, informacije ili drugu imovinu,

• Na verovatnoću uticaja (izloženost - verovatnoću da će pretnja iskoristiti datu ranjivost) utiču:

– atraktivnost imovine za napadača,– stepen težine iskorišćenja ranjivosti,– motivacija napadača i – sposobnost napadača

1.4.5. Proces procene bezbednosnog rizika IS

• Rezultate procene rizika:– koristiti za identifikaciju opcija za tretman rizika i – dokumentovati u Politici zaštite i Planu tretmana rizika.

• rangirati faktore rizika po prioritetu tretmana-ublažavanja,• faktore rizika procenjene kao N-niske smatrati prihvatljivim i

moguće je da se tretman ovih faktora rizika ne zahteva,• faktori rizika procenjeni sa S-srednji i V-visoki treba da budu

tretirani (V- prioritetno), • rezultat procene, izjava o verovatnoći rizika za poslovne ciljeve

(SOA) • Izlaz: SOA - Izjava o primenljivosti (i/ili)

Izveštaj o proceni rizika

1.4.6. Plan tretmana rizika

• Razmotriti opseg opcija: – izbegavanje, transfer, prihvatanje, ublažavanje faktora rizika

• Priprema:– Plana tretmana rizika i Implementacije plana tretman rizika,

• Plan tretmana rizika:– obezbediti odluku menadžmenta o prihvatanju rizika (SOA),– identifikovati faktore rizika koji se izbegavaju, transferišu ili prihvataju– identifikovati izabrane opcije za tretman neprihvatljivih faktora rizika,– identifikovati kombinacije opcija za tretman rizika,– izabrati kontrole osnovne zaštite za ublažavanja faktora rizika izabranih

za ublažavanje

Izlaz: Plan tretmana rizika

1.4.7. Implementacija plana tretmana bezbednosnog rizika IS

• Rpr- preostali relativni rizik ostaje posle procesa tretmana:– uvek ga ima - uticaj nizak, tretman skup,

• Revizija Rpr posle tretmana:– prema kriterijumima za prihvatanje rizika u procesu C&A sistema

zaštite LANE,• Ako postoji faktor rizika sa neprihvatljivim nivoom uticaja posle revizije:

– treba ga ili prihvatiti ili ponovo procenjivati• Rezultati procesa tretmana i prihvatanja rizika su osnova za Plan

implementacije tretmana rizika:• akcije upravljanja, odgovornosti, prioriteti, dinamika, budžet,

očekivani izlazi, merenja performansi i proces revizije.• mehanizme za procenu nivoa implementacije na bazi kriterijuma

za ocenu performansi, individualnih odgovornosti i drugih ciljeva i monitorisanje kritičnih kontrolnih tačaka implementacije.

• Izlaz: Plan implementacije tretmana rizika ili (Plan sistema zaštite)


43

ZAKLJUČAK

1. Upravljanje rizikom redukuje faktore rizika na prihvatljivi nivo, implementacijom skupa kontrola opravdanog nivoa zaštite

2. Analiza rizika pomaže merenje rizika u IKT i definisanje kontrola zaštite za smanjenje faktora Rr

3. Kvantitativne metode svode Rr na novčanu vrednost

4. Kvalitativne metode obuhvataju neodređenost 5. Izbor: OCTAVE, CRAMM, ISO 27005

tema 10: upravljanje rizikom (iso/iec 27005)

Documents